全てのリンクがfindbetterresults.comに飛んでしまうトラブル発生!原因はGoogle Analyticsでした

findbetterresults.com

すっかり閑古鳥が鳴いているこのブログ。
久しぶりに見て、リンクをクリックしてビビりましたエルモブルー

リンクをクリックすると別ウインドーが開き「findbetterresults.com」というめちゃ怪しいサイトにアクセスしようとするではないですか。
カスペルスキーさんが「こりゃヤバい」と判断してブロックしてくれました。
これが全てのリンクで起きるのですわぉ

なんだこれは!!
WordPressのシステムがマルウエアに感染したか??
焦りました。

原因はテーマにあり

まずはプラグインを停止してみましたがダメ。
マルウエアが感染したら教えてくれるはずの「Google Web master tool」でチェックしても「感染は無し」。

次にテーマを変更してたところ、見事に症状は消えました!

と言うことは、テーマを構成するファイル(以下「テーマファイル」)のうちどれかがマルウエアに感染したのかもしれません。

そこで、まだ問題なく動いていた昨年10月のバックアップファイルでテーマファイルを全部入れ替えました。
しかしダメ。
えーー、これで直ると思ったのに。

じゃあテーマファイル以外かと思い、最新のWordPressをダウンロードしてテーマファイル以外を全取っ替えしてみましたが、やはりだめ。

うーん。
なんだー。
わからん。

犯人はheader.php

次にそこで、テーマファイルを「バックアップ」ではなく全部「オリジナルファイル」に戻したところ症状は消えました。
と言うことは、テーマファイルのうち自分でいじったファイルが原因のようです。

自分でいじったのは

・style.css
・header.php
・footer.php
・dist/css/united.min.css

の4つのファイル。
一つずつ戻したら

header.php

で症状が出ました。
犯人はこいつだーーーー!!!!!

コードを見比べた結果「header.php」のオリジナルとの違いは、なんと「Google Analyticsのトラッキングコード」の中の1文字でした。

▼問題のコード

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');
  ga('create', '**-******-*', 'mocamoca.biz');
  ga('send', 'pageview');
</script>

▼オリジナルコード

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
  ga('create', '**-******-*', 'auto');
  ga('send', 'pageview');
</script>

問題のコードと、オリジナルコードの違いは「mocamoca.biz」と「auto」だけ。
「mocamoca.biz」を「auto」に書き換えたら症状は消えました。

実はこの「mocamoca.biz」というドメインは、先日手放したドメインなのです。
このドメインが生きていたときは大丈夫だったのに、ドメインが無効になったことで異常が出たようです。

私のWordPressのソース自体は異常が生じる前後で変わっていない。
つまり要するに私のWordPressがハッキングされたのではなく、なんとGoogle Analyticsがハッキングされたようです。

ネットで調べると、ほぼ同じ事例が報告されていました。

Found a very serious problem today. I have about 50 websites and today I discovered that after the home page, every additional page generated a second page to findbetterresults.com

(参照元:Google Analytics has been hacked by findbetterresults.com – Fòrums de productes de Google)(別ウインドー)

しかし今回はほんとに肝を冷やしました。

結果的にWordPressのハッキングではなかったのですが、セキュリティーの大切さを痛感しました。